Интимные фото, банковские выписки: как популярный мессенджер сливает файлы

Популярный мессенджер сливает пользовательские данные в интернет

Depositphotos
Исследователи кибербезопасности обнаружили опасную уязвимость в популярном мессенджере, число установок которого в Google Play превысило 100 млн. Сообщается, что Go SMS Pro автоматически загружает весь пользовательский контент, включая фото и видео, в интернет, присваивая ему ссылки, с помощью которых злоумышленник может получить доступ к любой приватной информации, которой поделилась жертва. 

Приложение-мессенджер Go SMS Pro сливает пользовательские данные, которыми он делится в ходе переписки, в интернет, сообщает портал TechCrunch. Этот сервис может похвастаться внушительными 100 млн установок в Google Play и широко используется юзерами в качестве альтернативы стандартному SMS-менеджеру.

Как оказалось, Go SMS Pro автоматически загружает в сеть любой файл, который пользователь отправил своему собеседнику.

Этому файлу присваивается URL, перейдя по которой можно просмотреть отправленный контент, будь то документ или фотография.

Проблема заключается в том, что эта ссылка ничем не защищена — то есть перейти по ней может любой человек. Более того, они генерируются мессенджером, а значит символы внутри создаются с помощью алгоритмов.

Это означает, что злоумышленник, разгадав принцип формирования таких URL, может открывать любые файлы, передаваемые с помощью Go SMS Pro.

Репортер TechCrunch Зак Уитакер, обнаруживший уязвимость, просмотрел несколько ссылок, которые были сгенерированы приложением, и смог найти в них номер телефона пользователя, скриншот с банковской выписки, подтверждение заказа в магазине с адресом получателя, протокол задержания преступника, а также несколько фотографий, «чуть более откровенных», чем на то рассчитывал Уитакер.

При этом создатели приложения не реагируют на сообщения в электронной почте. Известно, что разработчиков Go SMS Pro уведомили о проблеме несколько месяцев назад, но они так и не исправили эту уязвимость, тем самым поставив под угрозу приватность миллионов своих пользователей. 

До тех пор, пока до администрации сервиса не удастся достучаться, ИБ-эксперты рекомендуют отказаться от использования Go SMS Pro, заменив его на аналогичное приложение. 

Между тем, другие популярные мессенджеры также нередко становятся жертвами хакерских атак из-за возникших уязвимостей. В июне текущего года стало известно, что на одном из форумов даркнета была обнаружена база данных с информацией о миллионах пользователей Telegram.

Файл весом в 900 мб содержал в себе возможность узнать номера телефонов по никам пользователей мессенджера, а также уникальные идентификаторы юзеров. Точное количество пользователей, чьи данные оказались в руках хакеров, неизвестно. Порядка 70% номеров – иранские, остальные – российские.

Как сообщили в пресс-службе мессенджера, подобные базы собираются мошенниками через злоупотребление встроенной функцией импорта контактов из телефона при регистрации пользователя.

«К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор», – заявили представители Telegram.